Zoom für macOS: Update-Funktion reißt Sicherheitslücke

Die populäre Videokonferenz-App hat auf dem Mac einmal mehr ein Security-Problem. Nutzer sollten dringend aktualisieren. Perfekt ist der Fix noch nicht.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen

Nutzerin bei einer Videokonferenz.

(Bild: fizkes/Shutterstock.com)

Lesezeit: 3 Min.

Die Zoom-App auf dem Mac enthielt bis vor kurzem eine schwerwiegende Sicherheitslücke, die das Update-Feature betraf. Davor hat der Videoconferencing-Spezialist am Samstag in einem Sicherheitsbulletin gewarnt. Es war demnach möglich, dass Prozesse ohne Admin-Privilegien mittels der von Zoom entwickelten Aktualisierungsroutine Root-Rechte erlangen und damit auf dem System nahezu alles anstellen konnten (CVE-2022-28756, CVSS 8.8, Risiko "hoch").

Einen Exploit für das Problem hatte der bekannte macOS-Sicherheitsspezialist Patrick Wardle auf der Sicherheitskonferenz DEFCON in Las Vegas am Freitag demonstriert. Ob der Bug auch in freier Wildbahn ausgenutzt wurde oder nur dieser Demo-Exploit existiert, blieb zunächst unklar. Laut Wardle ist das Problem eine relativ klassische Privilege Escalation. Dabei versucht eine App, die mit normalen Rechten ausgeführt wird, über (auch fremde) Prozesse an Root-Rechte zu kommen.

Fündig wurde Wardle in der Zoom-Update-Routine, die laut Angaben des Herstellers in den Versionen 5.7.3 bis 5.11.3 betroffen war. Die aktuelle Version für macOS 5.11.5 sei hingegen gepatcht. Wardle, der mit Objective See eine eigene Non-Profit-Organisation betreibt, die sich vor allem der Mac-Sicherheit verschrieben hat, erläutert, dass die Update-Routine von Zoom neue Pakete installierte, nachdem sie überprüft hat, dass darin eine kryptografische Signatur von Zoom vorliegt.

Allerdings sorgte der Bug dafür, dass die Überprüfung nicht korrekt erfolgte – es reichte, dass eine Datei lediglich das Zoom-Zertifikat mitgeliefert hat und den darin verwendeten Namen trug. Zoom führte anschließend jede beliebige Software mit Root-Privilegien aus. Die potenzielle Malware konnte daraufhin alles installieren und im System verändern, was als Superuser möglich ist.

Wardle hatte den Bug bereits im Dezember 2021 entdeckt. Zoom reagierte mit einem Fix, der das Problem aber nur zum Teil behob – er fand eine Möglichkeit, den Fix zu umgehen. Dann wartete er weitere acht Monate auf einen echten Fix. Wardle sagte gegenüber dem IT-Blog The Verge, das sei für ihn "etwas problematisch" gewesen. Er habe nicht nur die Fehler an Zoom gemeldet, sondern der Firma auch ihre Fehler bei der Implementierung des Fixes erläutert. Es sei "sehr frustrierend gewesen", bis zu acht Monate zu warten, während die Zoom-Versionen auf allen Macs angreifbar waren.

Der Fix soll nun dafür sorgen, dass die Root-Rechte nicht mehr so einfach erlangt werden können. Allerdings ist der Patch noch immer nicht perfekt: Laut Wardle könnte es auch nach der Veränderung zumindest theoretisch zu einer weiteren Privilege Escalation kommen. Zoom arbeitet laut eigenen Angaben an dem Problem – wann der zweite Fix kommt, ist ungewiss. Zoom hatte 2019 bereits eine schwerwiegende Lücke unter macOS beheben müssen – sie war so problematisch, dass Apple eingriff.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)